河南省水利系統(tǒng)廣域網(wǎng)管理維護(hù)方案探究

□趙新強(qiáng) □李 亞 □李 婧（河南省水利信息中心）

1 概述

河南省水利系統(tǒng)廣域網(wǎng)依托河南省山洪災(zāi)害防治縣級(jí)監(jiān)測(cè)預(yù)警平臺(tái)項(xiàng)目實(shí)現(xiàn)了省、市、縣三級(jí)網(wǎng)絡(luò)連接，目前，網(wǎng)絡(luò)已覆蓋了省水利廳、18個(gè)市水利局、6座省管大型水庫(kù)、24個(gè)廳屬單位、134個(gè)縣（區(qū)）水利局、10個(gè)市管大中型水庫(kù)和5座節(jié)制閘，網(wǎng)絡(luò)用戶達(dá)3000余人。各級(jí)聯(lián)網(wǎng)單位主要通過(guò)租用河南省聯(lián)通公司10MMPLS-VPN電路實(shí)現(xiàn)連接。濮陽(yáng)市、開(kāi)封市、周口市、商丘市、漯河市等5個(gè)市的34個(gè)縣（區(qū)）水利局通過(guò)租用河南省電信公司10MMPLS-VPN電路連接到市水利局。

河南省水利系統(tǒng)廣域網(wǎng)絡(luò)作為各級(jí)水利主管部門(mén)數(shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)傳輸?shù)闹饕d體，實(shí)現(xiàn)了全省水雨情、工情和旱情信息的傳輸共享，并20min內(nèi)將全部報(bào)訊站的信息收集、傳輸?shù)街醒?，為防汛抗旱指揮調(diào)度提供科學(xué)手段；實(shí)現(xiàn)了辦公文件、各種應(yīng)用系統(tǒng)數(shù)據(jù)的傳輸；實(shí)現(xiàn)了語(yǔ)音IP電話和視頻監(jiān)控等業(yè)務(wù)的實(shí)時(shí)傳輸。網(wǎng)絡(luò)的重要性愈發(fā)明顯，愈需要規(guī)范的網(wǎng)絡(luò)管理和維護(hù)。

2 網(wǎng)絡(luò)拓?fù)?/h2>

河南省水利系統(tǒng)廣域網(wǎng)架構(gòu)如圖1所示，以租用聯(lián)通公司電路為例，縣水利局用戶從本地交換機(jī)連接到防火墻，接入光電轉(zhuǎn)換器，通過(guò)縣聯(lián)通公司10MMPLS-VPN電路匯總到市聯(lián)通公司，然后通過(guò)100MMPLS-VPN電路接入各市水利局光電轉(zhuǎn)換器，再接入市水利局防火墻2，通過(guò)局域網(wǎng)交換機(jī)接入市水利局防火墻1，再接入光電轉(zhuǎn)換器，最后通過(guò)市聯(lián)通公司10MMPLS-VPN電路匯總到省聯(lián)通公司，通過(guò)1000MMPLS-VPN光纖電路接入河南省水利廳防火墻，從而實(shí)現(xiàn)全省各水利部門(mén)的互聯(lián)互通。

圖1 河南省水利系統(tǒng)廣域網(wǎng)拓?fù)鋱D

從數(shù)據(jù)流向來(lái)說(shuō)，由于租用河南省聯(lián)通公司MPLS-VPN電路，每個(gè)聯(lián)網(wǎng)單位和聯(lián)通公司之間都有成對(duì)出現(xiàn)的路由，并且雙方均需要配置路由，實(shí)現(xiàn)互指，缺一不可。各單位可以在拓?fù)鋱D上標(biāo)明各網(wǎng)絡(luò)設(shè)備的IP地址，含路由出口地址，這樣對(duì)數(shù)據(jù)流向便一目了然。

3 網(wǎng)絡(luò)管理維護(hù)

3.1 管理模式

河南省水利系統(tǒng)廣域網(wǎng)絡(luò)采用分級(jí)管理的模式，以“責(zé)任管理分散，職能管理集中”為原則，責(zé)任和職能劃分如下：

聯(lián)網(wǎng)單位對(duì)各自網(wǎng)絡(luò)區(qū)域進(jìn)行管理和維護(hù)，并負(fù)責(zé)各自區(qū)域網(wǎng)絡(luò)安全。

河南省水利信息中心負(fù)責(zé)全省水利系統(tǒng)網(wǎng)絡(luò)的職能管理工作，如IP規(guī)劃、路由網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)信息安全管理體系的建設(shè)等，負(fù)責(zé)對(duì)市級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)骨干網(wǎng)的管理和監(jiān)視，負(fù)責(zé)對(duì)全省聯(lián)網(wǎng)單位進(jìn)行技術(shù)指導(dǎo)。

各市水利局網(wǎng)絡(luò)管理部門(mén)為廣域網(wǎng)絡(luò)二級(jí)分中心，在全網(wǎng)統(tǒng)一規(guī)劃的基礎(chǔ)上對(duì)下聯(lián)單位進(jìn)行進(jìn)一步細(xì)化管理，負(fù)責(zé)對(duì)縣級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)骨干網(wǎng)的管理和監(jiān)視，負(fù)責(zé)對(duì)全市聯(lián)網(wǎng)單位進(jìn)行技術(shù)指導(dǎo)。

3.2 管理制度

完善、嚴(yán)密的管理制度是網(wǎng)絡(luò)管理規(guī)范化、高效化的基礎(chǔ)，以確保人人各司其職，各盡其責(zé)。目前，國(guó)家安全部門(mén)對(duì)各單位的安全建設(shè)明確要求有規(guī)范健全的管理制度。河南省水利信息中心主要的規(guī)章制度有網(wǎng)絡(luò)中心管理制度、機(jī)房管理制度、值班制度、資產(chǎn)管理制度、信息安全保密制度、應(yīng)急預(yù)案制度等。各聯(lián)網(wǎng)單位根據(jù)自己實(shí)際情況制定切實(shí)可行的管理制度，加強(qiáng)用戶管理和安全管理，定期檢查網(wǎng)絡(luò)和設(shè)備的狀態(tài)，維護(hù)機(jī)房環(huán)境、保證網(wǎng)絡(luò)健康正常的運(yùn)行。

3.3 安全管理

網(wǎng)絡(luò)安全管理從物理與環(huán)境安全考慮，做好防火、防水、防雷措施，加強(qiáng)機(jī)房出入控制；從網(wǎng)絡(luò)安全考慮，加強(qiáng)防火墻安全配置，關(guān)閉常見(jiàn)病毒攻擊端口，啟用設(shè)備防DDOS攻擊功能，對(duì)服務(wù)器要?jiǎng)澐謱?zhuān)區(qū)重點(diǎn)防護(hù)，只開(kāi)放服務(wù)器對(duì)外端口，如果有對(duì)外web服務(wù)，還可以配置web防火墻；從系統(tǒng)安全考慮，加強(qiáng)服務(wù)器安全配置，盡可能關(guān)閉服務(wù)器無(wú)關(guān)端口，定期對(duì)服務(wù)器殺毒，做漏洞掃描，清除隱患；從用戶安全考慮，對(duì)用戶進(jìn)行準(zhǔn)入控制，身份登記，要求用戶必須安裝殺毒軟件，加強(qiáng)用戶上網(wǎng)行為管理與日志審計(jì)。

3.4 運(yùn)維管理

網(wǎng)絡(luò)運(yùn)維管理主要指實(shí)行7×24 h網(wǎng)絡(luò)值班制度，監(jiān)控網(wǎng)絡(luò)運(yùn)行情況。利用網(wǎng)絡(luò)管理軟件，定制網(wǎng)絡(luò)拓?fù)鋱D，并在拓?fù)鋱D上的每臺(tái)設(shè)備圖標(biāo)上均設(shè)置管理地址，通過(guò)ping、https、telnet等工具進(jìn)行網(wǎng)絡(luò)探測(cè)，定期檢查網(wǎng)絡(luò)通斷。如有網(wǎng)絡(luò)異?？赏ㄟ^(guò)聲音、郵件等方式報(bào)警，從而實(shí)現(xiàn)基本的監(jiān)視、定位、檢測(cè)、追蹤等功能。同時(shí)還可以通過(guò)網(wǎng)絡(luò)管理軟件自定義更多的端口來(lái)偵測(cè)服務(wù)器運(yùn)行狀況，例如網(wǎng)站服務(wù)器偵測(cè)80或者8080端口，郵件服務(wù)器偵測(cè)smtp服務(wù)25端口或者pop3服務(wù)110端口；ftp服務(wù)器避偵測(cè)21端口等，避免了網(wǎng)絡(luò)正常但服務(wù)故障的情況，更直接的監(jiān)視服務(wù)器運(yùn)行。圖2即市水利局監(jiān)控到各縣水利局骨干網(wǎng)的拓?fù)鋱D。網(wǎng)絡(luò)管理軟件很多，比較常見(jiàn)的有FriendlyPinger、北塔、廣通、網(wǎng)強(qiáng)等。

3.5 故障應(yīng)急處理

防汛無(wú)小事，擔(dān)負(fù)著關(guān)鍵數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)也顯得尤為重要，需要制定一套完整的故障應(yīng)急處理預(yù)案，避免有故障時(shí)手忙腳亂。平時(shí)就需要做好準(zhǔn)備工作，如制作本單位網(wǎng)絡(luò)拓?fù)鋱D，注明設(shè)備IP地址，理清網(wǎng)絡(luò)數(shù)據(jù)流向，在關(guān)鍵設(shè)備和網(wǎng)線上要貼好標(biāo)簽，標(biāo)明端口，做到條理、規(guī)范。

圖2 網(wǎng)絡(luò)監(jiān)控圖

在網(wǎng)絡(luò)出現(xiàn)故障時(shí)要沉著冷靜，用ping、tracert等命令按數(shù)據(jù)流向逐級(jí)排查，縮小范圍快速定位，再細(xì)心排查，就能查到故障點(diǎn)。通常步驟處理如下：

第一，首先ping自己?jiǎn)挝痪W(wǎng)關(guān)和防火墻出口路由地址，不通則是局域網(wǎng)問(wèn)題，執(zhí)行第二步；通則執(zhí)行第四步。

第二，確定防火墻、交換機(jī)、協(xié)議轉(zhuǎn)換器等設(shè)備有無(wú)故障，通過(guò)目測(cè)接口狀態(tài)指示燈確定硬件設(shè)備有無(wú)告警。如果協(xié)議轉(zhuǎn)換器比平時(shí)多亮了紅燈，可聯(lián)系聯(lián)通公司讓檢查線路；如果防火墻、交換機(jī)設(shè)備有問(wèn)題，聯(lián)系設(shè)備廠商解決。

第三，設(shè)備無(wú)異常，將防火墻、交換機(jī)、協(xié)議轉(zhuǎn)換器等設(shè)備斷電2min后再開(kāi)機(jī)，再查看連接。重啟后正常則說(shuō)明設(shè)備死機(jī)；重啟后仍不通，可以斷開(kāi)所有內(nèi)部網(wǎng)絡(luò)連接設(shè)備，用單機(jī)（筆記本電腦）接入防火墻局域網(wǎng)口，看能否ping通網(wǎng)關(guān)，通說(shuō)明局域網(wǎng)內(nèi)有嚴(yán)重病毒或交換機(jī)有故障；不通說(shuō)明防火墻有故障。

第四，ping防火墻出口對(duì)應(yīng)聯(lián)通路由地址，不通說(shuō)明聯(lián)通線路或者光電轉(zhuǎn)換器有故障，聯(lián)系當(dāng)?shù)芈?lián)通公司進(jìn)行檢查；通則可能是聯(lián)通路由問(wèn)題、上聯(lián)單位網(wǎng)絡(luò)問(wèn)題等原因，聯(lián)系上聯(lián)單位協(xié)助解決。

4 結(jié)語(yǔ)

河南省水利系統(tǒng)廣域網(wǎng)從2001年開(kāi)始，經(jīng)過(guò)建設(shè)、升級(jí)、發(fā)展，逐步建立了覆蓋全省的三級(jí)骨干網(wǎng)絡(luò)。多年來(lái)，通過(guò)不斷學(xué)習(xí)、總結(jié)，已形成了一套規(guī)范有效的網(wǎng)絡(luò)管理維護(hù)體系，希望可以在各聯(lián)網(wǎng)單位推廣應(yīng)用，更安全有效的保障網(wǎng)絡(luò)運(yùn)行，為河南省水利事業(yè)做出更大的貢獻(xiàn)。

洪偉.基于MPLSVPN技術(shù)的行業(yè)專(zhuān)網(wǎng)(J).計(jì)算機(jī)與現(xiàn)代化，2003(9).